Cline Kanban WebSocket の脆弱性 CVE-N/A が FIX：悪意の Web サイトからの乗っ取りの可能性

Cline Kanban WebSocket Vulnerability Enables Malicious Sites to Take Over AI Coding Agents

2026/05/08 gbhackers — オープンソースの AI コーディング・エージェント Cline の、ローカル Kanban サーバに存在する深刻な脆弱性が明らかにされた。この開発者のためのツールは、ソースコード／クラウド認証情報／ターミナルへの深層アクセス権を持つものであり、複雑なコーディングタスクを自動化するものだ。Oasis Security の研究者が発見したのは、警告を一切表示せずに AI エージェントに対して不正コマンドを注入できる、脆弱性 CVE-N/A (CVSS：9.7：Critical) である。この脆弱性を悪用する悪意の Web サイトは、開発者マシンを密かに乗っ取り、機密ワークスペース・データを窃取する可能性がある。

Cline Kanban WebSocket 脆弱性

この脆弱性は、管理インターフェイスと AI エージェント・セッションとの間で、Kanban サーバがリアルタイム通信を処理する方法に起因する。

このサーバは、開発者のマシン上で WebSocket リスナーを開くが、基本的なセキュリティ・チェックを実装していない。したがって、接続元が正当な Kanban UI であることを、オリジン検証や認証トークンによって確認するメカニズムが欠如している。

WebSocket は、標準的なブラウザの CORS (Cross-Origin Resource Sharing) ポリシーによる制限を受けないため、ブラウザ・セキュリティにおける盲点を生み出す。

その結果として、開発者が閲覧した任意の Web ページを介した悪用が可能になる。この種の悪意の Web ページは、悪意の JavaScript を実行し、標準境界を回避してローカルサーバへのシームレスな接続を確立できる。

このセキュリティ欠陥により、攻撃者は 3 つの不当な能力を獲得できる。それらの中で、最も深刻なものはリアルタイムでの情報収集である。クロスオリジン接続が確立された瞬間に、開発者ワークスペースの完全なスナップショットが、Kanban サーバから無制限に送信される。

攻撃者が制御する Web ページは、開発者が作業している最中に、ファイルシステムパス／タスク詳細／git ブランチ名に加えて、AI エージェントの完全なチャット履歴を密かに収集できる。

さらに、この脆弱性を悪用する攻撃者は、ターミナル乗っ取りを達成して、リモートコード実行を容易にする。AI エージェントのターミナル入力に対して直接書き込むチャネルを、このサーバは公開している。この欠陥を突く攻撃者は、AI エージェントへ直接コマンドを送り込み、ユーザーの正当な入力であるかのように装うことで、悪意の指示を実行させることが可能になる。

エージェントは指定されたシェルコマンドを実行し、結果として攻撃者に開発者マシン上のシェルアクセスを与える。さらに攻撃者は、アクティブなエージェント・タスクを終了させることで DoS 攻撃を実行し、開発ワークフローを完全に妨害できる。

この脆弱性の攻撃面は極めて広く、フィッシング／ソーシャルエンジニアリング／マルウェア・インストールを必要としない。稼働中の脆弱な Kanban サーバが、侵害された Web ページを閲覧するだけで、この攻撃は成立する。

この脆弱性は、Oasis Security により責任ある形で開示された。すでにCline は、バージョン 0.1.66 をリリースし、この問題に対処している。

Cline の Kanban 機能を使用している、開発者にとって必要なことは、直ちにソフトウェアを更新することである。さらにセキュリティ・チームは、同様のローカル・リスナーの欠陥について、AI 開発環境全体を監査すべきである。

ホストベース・ファイアウォールおよびエンドポイント・セキュリティ・ポリシーにより、localhost サービスの公開範囲を制限することで、未承認プロセスによるネットワーク・ポートへのバインドを防止できる。

高権限の AI エージェントが、自律的に動作するケースが増加している。ユーザー組織にとって必要なことは、エージェントの挙動を監視し、不正コマンド注入を遮断するための、専用のアクセス管理制御を導入することである。

訳者後書：AI コーディング・アシスタント Cline に付随する、Kanban サーバという機能で見つかった、 きわめて深刻な脆弱性 CVE-N/A (CVSS 9.7) について解説する記事です。問題の原因は、開発者のコンピュータ内で動くサーバが外部との通信を待ち受ける際に、相手が誰かを確認するセキュリティ・チェックを完全に行っていなかったことにあります。通常、ブラウザで開く Web サイトは、他のシステムに勝手にアクセスできないような制限がありますが、 今回使われていた WebSocket という通信方式には、この制限が効きにくいという盲点がありました。 そのため、 開発者が悪意のサイトを閲覧するだけで、 そのサイトからコンピュータ内のサーバへの接続が確立してしまいます。 この接続から、 AI とのチャット履歴やソースコードが盗まれるだけではなく、 攻撃者が AI に対して偽の命令を送り込み、 開発者の代わりにターミナルで悪意のコマンドを実行するという恐れがあります。ご利用のチームは、ご注意ください。よろしければ、Cline での検索結果も、ご参照ください。